Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä 25.10.2016 m/s Silja Serenade Insevl Pekka Ylitalo Nimi Työ Osasto
Roadmap since 90's
Mikä on yritysturvallisuusselvitys Uudistetun turvallisuusselvityslain mukainen yritykseen tehtävä turvallisuusselvitys Todennetaan yrityksen luotettavuus, sitoumuksenhoitokyky ja tietoturvallisuuden taso Tarve syntyy silloin, kun yritys saa hankkeessa tms. toimeksiannossa haltuunsa viranomaisten salassa pidettäväksi luokiteltua tietoa (ST III tai korkeampi, eri harkinnalla ST IV tieto tai muu syy) Osana yrityksen luotettavuuden ja sitoumuksenhoitokyvyn arviointia, sen vastuuhenkilöistä tehdään perusmuotoinen henkilöturvallisuusselvitys, joka sisältää luottotietojen tarkastamisen ml. mahdolliset maksuhäiriö- ja ulosottotiedot Tietoturvallisuuden tason arvioimiseksi yrityksessä voidaan tarkastaa toimitilojen, tietojärjestelmien ja tietoliikennejärjestelyjen suojaamiseksi toteutetut järjestelyt, sekä yrityksen muut turvallisuusjärjestelyt Tarkastuksen tarkoituksena on selvittää yrityksen kyky käsitellä ja säilyttää salassa pidettävää tietoa sen suojaustason vaatimusten mukaisesti
Kuka Suomessa tekee yritysturvallisuusselvitykset Yritysturvallisuusselvitykset tekee Suomessa lähtökohtaisesti suojelupoliisi, mutta milloin yrityksen on tarkoitus hoitaa puolustusvoimien antamaa tehtävää, tai yritys liittyy puolustusvoimien hankintoihin, pääesikunnalla on toimivalta yritystuvallisuusselvityksen tekemiseen Yritysturvallisuusselvitys edellyttää aina yrityksen suostumuksen, ja tarve selvityksen laajuudelle tulee perustua molempien osapuolien, yritysturvallisuusselvitystä hakevan viraston ja yrityksen, näkemykseen. Yritysturvallisuusselvitys käynnistyy hakijaviraston laatimalla hakemuksella. Suppeimmillaan yritysturvallisuusselvityksessä selvitetään vain yrityksen luotettavuus ja sitoumuksenhoitokyky, jolloin yritykselle myönnetään ns. rajattu yritysturvallisuustodistus (without safeguards) Laajimmillaan yritysturvallisuusselvityksessä tarkastetaan em. lisäksi yrityksen hallinnolliset menettelyt sekä toimitilat ja tietojärjestelmä tahi muut sähköisen tiedonkäsittelyn menettelyt
Kuinka yritystä arvioidaan Yrityksen tietoturvallisuuden tasoa tarkastettaessa arviointiperusteena käytetään vaatimuksia, jotka on johdettu viranomaisen toimintaa säätävistä laeista ja asetuksista Tällaisia ovat muun muassa: Kansallinen turvallisuusauditointikriteeristö Valtiovarainministeriön toimesta annetut VAHTI-ohjeet Julkaistut ja yleisesti sovelletut tietototurvallisuutta koskevat säännökset, määräykset tai ohjeet Vahvistettuun standardiin sisältyvät tietoturvallisuutta koskevat vaatimukset Yritysturvallisuusselvityksen perusteena käytetyt arviointiperusteet eivät estä hanketta tai muuta yrityksen kanssa asioivaa tahoa tarkentamasta tiedon käsittelyn menettelyjä tai yrityksen turvallisuusjärjestelyjä silloin, kun se nähdään tiedon omistajan lähtökohdista esim. jossain hankekokonaisuudessa tarkoituksenmukaiseksi. Tällaista tarkoituksia varten virasto ja yritys yleensä laativat erillisen turvallisuussopimuksen, tai turvallisuusliitteen osaksi kaupallista sopimusta.
Yritysturvallisuustodistus Milloin yrityksen tietoturvallisuuden tason todetaan täyttävän edellytetyt vaatimukset, yritykselle myönnetään yritysturvallisuustodistus Todistukseen kirjataan tehdyt tarkastukset sekä luotettavuuden ja sitoumuksenhoitokyvyn arviointi. Yritysturvallisuustodistus on voimassa enimmillään viisi vuotta. Voimassaolon aikana todistuksen myöntäneellä viranomaisella on velvollisuus yrityksen turvallisuusjärjestelyjen, sekä yrityksen ja sen vastuuhenkilöiden luotettavuuden ja sitoumuksenhoitokyvyn seurantaan Todistus voidaan peruuttaa, jos arvioinnissa käytetyt perusteet ovat poistuneet Milloin kyseessä on kansainvälisen tietoturvallisuusvelvoitteen edellyttämä yritysturvallisuustodistus, sen myöntää kansallisena turvallisuusviranomaisena toimiva ulkoasiainministeriö FSC-todistus tarvitaan esimerkiksi silloin, kun yritys haluaa osallistua kansainväliseen tarjouskilpailuun tai aloittaa yritystoiminnan toisessa valtiossa, ja yrityksellä on tarve käsitellä kansainvälisen tietoturvallisuusvelvoitteen alaista erityissuojattavaa tietoa Myös FSC-todistuksen myöntämisen perusteena on edellä kuvattu yritysturvallisuusselvitys, ts. silloin kun yrityksellä jo on yritysturvallisuustodistus, FSC-todistuksen myöntämisen perusteet ovat lähtökohtaisesti olemassa. FSC-todistuksen hakumenettely on ohjeistettu ulkoasiainministeriön toimesta.
Pääesikunnan kokemukset yritysturvallisuusselvityksistä 1.1.2015 alkaen Volyymi tällä hetkellä: yritysturvallisuusselvityksiä on pääesikunnalla meneillään kymmeniä Yritysten vastaanotto todistusmallille ollut hyvin positiivinen Huomioiden, että puolustusvoimat alkoi tehdä turvallisuussopimuksia 23 vuotta sitten, siirtymä nykyiseen todistusmalliin selkenee edelleen, ja 2020-luvulla se lähestyy rutiinia